La remédiation ne fonctionne pas dans les entreprises : qui pour leur (re)donner la foi ?

La gestion des vulnérabilités est une des bases de la cybersécurité et pourtant elle demeure un casse-tête pour une majorité des entreprises qui ont encore beaucoup de difficultés à remédier.

A l'image du record de données produites chaque année du fait de l'internet et du cloud, les entreprises partout dans le monde sont en passe de battre un record qui hélas touche à leur cyberdéfense : 66% d'entre elles se retrouvent avec des backlogs de plus de 100 000 vulnérabilités.

Faisons un peu d'histoire : les Cloud, les SaaS, les OS, les Apps se sont multipliées avec une bonne dose de virtualisation et tout cela génère des trous dans la raquette cyber car plus on multiplie les couches logicielles pour cause de transformation numérique, plus on a des remontées de vulnérabilités.

Les équipes en charge de la remédiation dans les entreprises - alors que l'automatisation a permis de réduire le nombre de ressources assignées à cette tache – se retrouvent face à des montagnes de demandes de remédiations et elles ont perdu la foi.

Trop de rapports à traiter, pas de consistance et surtout trop peu de détails sur comment remédier transforment leur To Do List en un jour sans fin peuplé de tâches qui s’accumulent. Elles sont aux portes de l'enfer...

Renouer le dialogue et Connaître ses actifs

Dans les grandes entreprises, ce phénomène est encore accentué du fait que les personnes en charge de l'identification des risques et celle en charge de la remédiation sont différentes. La communication se fait majoritairement sous forme de tableurs géants et imbuvables qui créent des délais supplémentaires entre l’identification du risque et sa remédiation.

Un danger supplémentaire pour ces entreprises qui est encore accentué par le fait que la listes des assets n'est que rarement maintenue correctement ce qui impose aux équipes de remédiation d’enquêter sur qui est responsable de quoi... Encore du temps de perdu au détriment de la sécurité informatique.

Une autre aberration collaborative qui est hélas trop souvent pratiquée en entreprise consiste à assigner les taches de remédiations via des réunions ce qui induit naturellement une augmentation des délais entre la découverte d'une vulnérabilité et sa remédiation.

Remédier c'est savoir

Le combo parfait de la crise cyber est atteint quand on constate que les personnes en charge de la remédiation ont finalement peu d'information à leur disposition. Comment remédier ? Quelles sont les meilleures options ? Quel est le contexte pour leur entreprise et quelles sont les vulnérabilités prioritaires ? Autant de questions qui peuvent tourner au cauchemar pour les professionnels en charge de la remédiation.

Et ce ne sont certainement pas les rapports générés par les multiples solutions cyber répondant chacune à des besoins spécifiques qui vont aider. Chacun de ces outils propose ses propres reporting engendrant des milliers d’alertes que très peu d’entreprises arrivent à analyser.

C'est bien beau d'alerter si les temps de traitement laissent des trous béants dans la posture de sécurité des entreprises. C'est pour cela que la remédiation doit être considérée comme une priorité et que la règle du « voir, prioriser, remédier » doit (re)devenir une bible toujours présente sur la table de nuit opérationnelle des RSSI et des DSI. 

De ce fait, il est plus qu'urgent d’augmenter la capacité des équipes de remédiation à traiter chaque vulnérabilité car tout l’écosystème cyber ne peut que confirmer que le temps entre la découverte d’une vulnérabilité et son exploitation réduit jour après jour. Et on ne parle même pas des nouvelles surfaces d'attaques découvertes jour après jour.

La remédiation ne fonctionne pas dans les entreprises mais il faut pourtant garder la foi car les outils et les bases de connaissance existent, aux responsables revient la responsabilité de transformer un sacerdoce en pratique professionnelle...